飞星注入器v.2.0.5 开源 | 已绕过卡巴斯基EDR

0xDemon

卡巴,  运行后报毒, 计算器弹出来.
总体来说, 是绕过了吧.

00006666

菜叶片 发表于 2025-4-8 22:06
飞星2.0.6 Preview（更新预告）
---

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2280522&pid=56016568

我看楼上没开核晶也能触发拦截，右上角无VT标很明显是没开核晶，目前部分系统的360会用别的技术来实现类似核晶效果，不需要VT，应对冒充模拟器顶掉核晶的情况，断网应该也能绕，不过以往木马家族用过的一些断网方法，本身就会被360规则拦截，要用木马家族没用过的断网方法才行。

00006666

目前杀软和EDR的栈回溯监控是一般基于ETW，也算是一种内核监控，不是用户层钩子，比如卡巴已经取消了用户层钩子，bitdefender确实目前还很依赖用户层钩子

https://mp.weixin.qq.com/s/Tf98bQs9UX0cP0dts8BQ3Q  可以看看这篇文章，堆栈欺骗绕的是ETW

00006666

Jirehlov1234 发表于 2025-4-6 10:47
主防。edr是另外的

被内存扫描干掉了，卡巴内存扫描确实很强

菜叶片

0xDemon 发表于 2025-4-9 00:20
卡巴,  运行后报毒, 计算器弹出来.
总体来说, 是绕过了吧.

现在绕不过了 已经被云拉黑了
刚发布的时候 实测卡巴斯基EDR没反应
但是第二页有人回复 物理机主防拦截 但是虚拟机主防没反应XD
等这周末我发布2.0.6吧XD

菜叶片

00006666 发表于 2025-4-9 08:14
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2280522&pid=56016568

我看楼上没 ...

奇怪了 我和朋友测 虚拟机 物理机 360完整版 极速版（企业版没测
不开核晶都稳过
emm不清楚为什么 周末再研究

菜叶片

00006666 发表于 2025-4-9 14:51
目前杀软和EDR的栈回溯监控是一般基于ETW，也算是一种内核监控，不是用户层钩子，比如卡巴已经取消了用户层 ...

刚发现我栈回溯方案有严重漏洞 但是很好修
根据天穹云沙箱 我的系统调用发生地址和应当发生的地址不同
emmm你可以去我博客cnmrsunshine.github.io看看原理
NextGen模式稳定过 但是为每个Nt函数都反汇编不现实 并且发现部分涉及句柄的高层函数用这种思路会引发无法处理的Invalid Handle异常
而Legacy模式。。忘记修改系统调用地址了 这个问题非常严重 栈欺骗基本上算无效了 毕竟有更明显的破绽
不过修了就行XD

菜叶片

00006666 发表于 2025-4-9 17:04
被内存扫描干掉了，卡巴内存扫描确实很强

诶？可是我注入shellcode后挂了半小时 KES一点反应没有
直接插入到C标准库启动函数 这样的方案也不行吗？？？

00006666

菜叶片 发表于 2025-4-9 22:24
诶？可是我注入shellcode后挂了半小时 KES一点反应没有
直接插入到C标准库启动函数 这样的方案也不行吗 ...

内存扫描有随机性，触发时机不一样，它不一定会触发扫描

00006666

菜叶片 发表于 2025-4-9 22:18
奇怪了 我和朋友测 虚拟机 物理机 360完整版 极速版（企业版没测
不开核晶都稳过
emm不清楚为什么 周末 ...

360在部分系统会用核晶替代方案，别的非VT方案，不过只有部分系统生效，具体哪些我也不知道，貌似跟卫士版本也有关系，建议测卫士beta版。

这就是为什么有人会说360不开核晶能对付大部分注入，有人说360不开核晶根本不拦截注入…